با توجه به تأثیر سریع و انکارناپذیر بازبینی امنیتی و آزمون نفوذ در امنسازی فاوا، شرکت پرشان تک افزار این خدمت تخصصی را یکی از دیگر محورهای فعالیت و ارائه خدمات به مشتریان خود قرار داده است.
امروزه آزمون نفوذپذیری چه برای سازمانهایی که از تجهیزات امن استفاده می کنند و چه برای آن دسته از سازمانهایی که در استقرار تجهیزات نرم افزاری، سخت افزاری و شبکه ای قوی، نوپا محسوب می گردند، به عنوان یک روش ارزیابی قانونمند و قابل اتکا در جهت شناسایی آسیب پذیریهای سیستم کاربرد وسیعی یافته است. تست نفوذپذیری یا تست نفوذ روشی برای تخمین میزان امنیت یک کامپیوتر (معمولا سرور) یا یک شبکه است که با شبیهسازی حملات یک حملهکننده (هکر) صورت میگیرد. آزمون نفوذ به منظور یافتن نقاط آسیبپذیر وبسایتها، شبکه و زیرساخت فناوری اطلاعات یک مجموعه انجام میشود. آزمون نفوذ توسط کارشناسان خبره امنیت انجام میشود و در این آزمون پروسهها و تکنیکهایی استفاده میشود که توسط هکرها برای نفوذ به سیستم های فاوا بکارگرفته میشود.
مهمترین تفاوت بین هکر وشخصی که تست نفوذپذیری انجام می دهد این است که، تست نفوذپذیری با مجوز وقراردادی که با سازمان یا شرکت امضاء شده است انجام می شود و در نهایت منجر به یک گزارش خواهد شد. هدف از تست نفوذ پذیری بالا بردن امنیت زیرساخت پردازش و تبادل داده ها توسط تست امنیتی می باشد. اطلاعات و ضعف های امنیتی که در نفوذ پذیری مشخص می شود محرمانه تلقی شده و نباید تا برطرف شدن کامل افشاء شود. ولی در مورد هکر این رویه و روال وجود ندارد.
تست نفوذ پذیری در سازمان به دلایل زیر انجام می شود:
نکته : آزمون نفوذ پذیری می بایست بر روی تمام سیستمها،تمام سایتها وزیر سایتها انجام شود تا احتمال نفوذ کلیه کاربران عادی واستثنایی را به حداقل برساند .
همین طور روشهای استفاده شده در تست نفوذ بسته به میزان و امکان دسترسی به تجهیزات سازمان قابل تغییر است. نحوه انجام آزمون نفوذ میتواند بسته به میزان و مجوز دسترسی به جزئیات و مولفههای سیستم به صورت جعبه سیاه (عدم دسترسی و اطلاع از جزئیات داخلی سیستم)، جعبه سفید (دسترسی کامل به جزئیات درونی سیستم) و جعبه خاکستری (میزان دسترسی بین جعبه سیاه و جعبه سفید) باشد.
OSSTM یک بازنگری دقیق بر روی انجام تست های نفوذ پذیری می باشد که روی جزئیات تکنولوژی تست نفوذپذیری در زمان اجرا و بعد از آن، نحوه کسب نتایج، ناحیه تست امنیتی، پردازشها، اطلاعات، تکنولوژی های اینترنتی، وسایل ارتباطات بی سیم و غیره متمرکز می شود.
OWASP در اصل تلاش می نماید که دلایل ناامن بودن یک نرم افزار را به اثبات برساند.تمرکز عمده آن روی سرویسها و برنامه های تحت وب می باشد.
هدف اصلی پروژه استاندارد بررسی امنیتی نرمافزار اواسپ (OWASP ASVS) نرمال سازی دامنه و سطح دشواری بررسی امنیتی یک نرم افزار در بازار بر اساس راهکارهای تجاری است. این استاندارد یک مبنا جهت تست تخصصی مکانیزمهای امنیتی نرمافزار و همچنین تمام مکانیزمهای امنیتی تخصصی محیط است که برای رخنههایی مانند اسکریپ بین سایتی (XSS) و تزریقات پایگاهداده (SQL injection) بر آنها تکیه میشود. استفاده از این استاندارد میتواند یک سطح اعتماد معقول در امنیت نرمافزارهای وبی ایجاد نماید.